Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Silentbanker.G von AV gefunden (https://www.trojaner-board.de/62345-tr-silentbanker-g-av-gefunden.html)

danboe78 18.10.2008 17:44
TR/Silentbanker.G von AV gefunden
 
Hallo,

bin neu hier und durch google auf Trojaner-Board gestoßen.

Seit gestern Abend kommt ständig vom AV die Meldung "TR/Silentbanker.G" gefunden und beim Online-Banking wollten die Herrschaften komplett 10 unverbrauchte TANs zur weiteren Authentifizierung haben -> da haben die Alarmglocken dann äußerst laut geschrillt...! Löschen und Quarantäne sind nicht möglich und ich habe bei Rechechen auch kein Removel-Tool finden können.
Anbei meine Scans von AV, HiJackThis und Malwarebytes, das von Ad-Aware könnte ich auch noch liefern.

Sollten sich beim Checken der Logs noch andere "Plagegeister" outen, die ich nicht gefunden bzw. entdeckt habe, bitte auch kurz Bescheid geben. Vielleicht könnt ihr mir helfen, mein System zu retten!!!

Vielen Dank im Voraus!!!

P.S.: Hoffe, dass die Infos reichen und ich nicht unnötig oder falsche Sache gepostet habe - bin hierbei absoluter Neuling.


AntiVir:
-------
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 17. Oktober 2008  22:22

Es wird nach 1691950 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    DB

Versionsinformationen:
BUILD.DAT    : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7      315649 Bytes  17.07.2008 18:03:06
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 18:03:06
LUKE.DLL      : 8.1.4.5      164097 Bytes  17.07.2008 18:03:07
LUKERES.DLL  : 8.1.4.0        12545 Bytes  17.07.2008 18:03:07
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 14:27:15
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 16:29:50
ANTIVIR2.VDF  : 7.0.7.12    4066816 Bytes  08.10.2008 18:15:26
ANTIVIR3.VDF  : 7.0.7.56      312320 Bytes  17.10.2008 18:03:28
Engineversion : 8.2.0.5 
AEVDF.DLL    : 8.1.0.6      102772 Bytes  17.10.2008 18:03:34
AESCRIPT.DLL  : 8.1.1.9      319867 Bytes  17.10.2008 18:03:33
AESCN.DLL    : 8.1.1.3      123252 Bytes  17.10.2008 18:03:33
AERDL.DLL    : 8.1.1.2      438644 Bytes  18.09.2008 16:27:32
AEPACK.DLL    : 8.1.2.4      369014 Bytes  17.10.2008 18:03:32
AEOFFICE.DLL  : 8.1.0.28      196987 Bytes  17.10.2008 18:03:31
AEHEUR.DLL    : 8.1.0.59    1438071 Bytes  18.09.2008 16:27:31
AEHELP.DLL    : 8.1.1.2      115062 Bytes  17.10.2008 18:03:31
AEGEN.DLL    : 8.1.0.41      319861 Bytes  17.10.2008 18:03:30
AEEMU.DLL    : 8.1.0.9      393588 Bytes  17.10.2008 18:03:30
AECORE.DLL    : 8.1.2.6      172406 Bytes  17.10.2008 18:03:29
AEBB.DLL      : 8.1.0.3        53618 Bytes  17.10.2008 18:03:29
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  17.07.2008 18:03:06
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 18:03:06
AVREP.DLL    : 8.0.0.2        98344 Bytes  31.07.2008 17:24:03
AVREG.DLL    : 8.0.0.1        33537 Bytes  17.07.2008 18:03:06
AVARKT.DLL    : 1.0.0.23      307457 Bytes  14.04.2008 16:45:51
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 18:03:05
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  14.04.2008 16:45:51
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  17.07.2008 18:03:07
NETNT.DLL    : 8.0.0.1        7937 Bytes  14.04.2008 16:45:51
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  17.07.2008 18:03:03
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  17.07.2008 18:03:03

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 17. Oktober 2008  22:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ad-Watch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSAAD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicPvt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanNetService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dpps2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DUMeter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '57' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System + Programme>
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <xyz, Backup>
Beginne mit der Suche in 'E:\' <xyz>


Ende des Suchlaufs: Freitag, 17. Oktober 2008  23:05
Benötigte Zeit: 42:59 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  7681 Verzeichnisse wurden überprüft
 393302 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 393301 Dateien ohne Befall
  3068 Archive wurden durchsucht
      1 Warnungen
      0 Hinweise
HJT:
------
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:08:59, on 18.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Pop-Up Stopper\dpps2.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Hardware\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\MagicRotation\MagicPvt.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\C&E\DTV_Stick\RC.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\db\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\db\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\db\LOKALE~1\Temp\Rar$EX14.500\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Programme\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\Programme\\
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MagicRotation] C:\Programme\MagicRotation\MagicPvt.exe
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\Run: [Communication Center Synchronisation] "C:\Programme\o2 Communication Center\o2 Communication Center.exe" -S
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RC.lnk = C:\Programme\C&E\DTV_Stick\RC.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://210.80.76.119/object/Dldrv.ocx
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/de/win/QuickTimeInstaller.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: COM+-Systemanwendung (COMSysApp) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)

--
End of file - 10936 bytes
Malwarebytes:
---------------
Code:
Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1286
Windows 5.1.2600 Service Pack 2

18.10.2008 18:43:28
mbam-log-2008-10-18 (18-43-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 124188
Laufzeit: 1 hour(s), 29 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Blackrock 18.10.2008 18:57
wann hat avira den siletbanker angezeigt? bei einem system scan oder einfach so? ausserdem hast du dich schon einmal ein bissl im Forum umgeschuat ich meine es gab schon viele Fälle von dieser Art.. benutzte mal die suchfunktion , aber lasse dir noch ein mal von jmd helfen hier der mehr ahnung hat als ich ... weil ich sehe da im HJT nicht viel... =S hoffe jmd kann mich korriegieren falls ich falsch liege...

danboe78 18.10.2008 19:09
Die Meldung kam einfach so, ohne Scan.
Ich weiß, dass das Thema schon öfters diskutiert wurde und hab mich hier auch belesen. Jedoch stand immer wieder da, dass das Ausführen von diversen "Fix"-Programmen erst nach OK-Zeichen von Leuten, die mehr Ahnung haben als ich und die Logs auch verstehen, stattfinden soll.

danboe78 18.10.2008 19:20
Blacklight hat jetzt auch zwei Einträge gefunden, die ich umbenannt habe.
Die hießen:

c_204668.nls und
c_204687.nls

danboe78 18.10.2008 19:53
Habe nach Neustart festgestellt, dass Umbenennen nix gebracht hat.
Auch BootSektor neu schreiben lassen (Booten mit Windows-CD -> Repair -> fixmbr) hatte keinen Erfolg. Nach Neustart kommt sofort die altbekannte AV-Meldung...

Tayk 18.10.2008 20:09
Also Mbam ist sauber, Scanne mal nach rootkits so wie ich es dir beschreibe!

Deaktiviere Während des Rootkitscanns alle Virenscanner und programme!
Poste die logs auch wenn deiner Ansichtnach nichts gefunden wurde!
Poste Alle Berichte bzw. Logs in einem Code (das # Symbol klicken nicht auf der tastatur!)


1.MBR Scannen lassen
Lade dir bitte mbr detector herunter und führe ihn aus.
Poste das Ergebnis dann hier, die log datei liegt im gleichen ordner in dem du die mbr.exe gepeichert hast!

2.Gmer scannen lassen
Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

3.Blacklight scannen lassen
Lade dir Blackligt herunter und führe ihn aus.
Poste das Ergebnis dann hier.

danboe78 18.10.2008 20:51
zu 1.:
Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
zu 2.:
Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-18 21:35:39
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            F8D9155C                                                      ZwCreateThread
SSDT            F8D91548                                                      ZwOpenProcess
SSDT            F8D9154D                                                      ZwOpenThread
SSDT            F8D91557                                                      ZwTerminateProcess
SSDT            F8D91552                                                      ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

?              C:\DOKUME~1\db\LOKALE~1\Temp\mbr.sys                          Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.14 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                        sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)

Device          \Driver\Cdrom \Device\CdRom0                                  82614D40
Device          \Driver\Cdrom \Device\CdRom1                                  82614D40
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                  8259AB30
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                  8259AB30
Device          \Driver\atapi \Device\Ide\IdePort0                            8259AB30
Device          \Driver\atapi \Device\Ide\IdePort1                            8259AB30
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                  8259AB30
Device          \Driver\Cdrom \Device\CdRom2                                  82614D40
Device          \Driver\Cdrom \Device\CdRom3                                  82614D40
Device          \Driver\sojuscsi \Device\Scsi\sojuscsi1                      828ABAF0
Device          \Driver\sojuscsi \Device\Scsi\sojuscsi1Port2Path0Target1Lun0  828ABAF0
Device          \Driver\sojuscsi \Device\Scsi\sojuscsi1Port2Path0Target0Lun0  828ABAF0

---- Modules - GMER 1.0.14 ----

Module          _________                                                    F8699000-F86B1000 (98304 bytes)

---- EOF - GMER 1.0.14 ----
zu 3. (aktuell):
Code:
10/18/08 21:37:56 [Info]: BlackLight Engine 1.0.67 initialized
10/18/08 21:37:56 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/18/08 21:37:56 [Note]: 7019 4
10/18/08 21:37:56 [Note]: 7005 0
10/18/08 21:37:59 [Note]: 7006 0
10/18/08 21:37:59 [Note]: 7011 1772
10/18/08 21:38:00 [Note]: 7026 0
10/18/08 21:38:00 [Note]: 7026 0
10/18/08 21:38:02 [Note]: FSRAW library version 1.7.1024
10/18/08 21:42:55 [Note]: 2000 1012
10/18/08 21:44:30 [Note]: 7007 0

So sieht das Log aus, nachdem ich die ersten beiden Funde (siehe Post von 20:20 und 20:53 Uhr mit Blacklight umbenannt habe und nach Neustart erneut durchlaufen ließ - da wurden dann drei Dateien gefunden):

Code:
10/18/08 20:58:10 [Note]: 10002 2
10/18/08 20:58:10 [Info]: Hidden file: c:\WINDOWS\system32\c_204707.nls
10/18/08 20:58:10 [Note]: 10002 2
10/18/08 20:59:28 [Note]: 2000 1012
10/18/08 21:00:40 [Note]: 7006 0
10/18/08 21:00:40 [Note]: 7011 1496
10/18/08 21:00:40 [Note]: 7026 0
10/18/08 21:00:40 [Note]: 7026 0
10/18/08 21:00:40 [Note]: FSRAW library version 1.7.1024
10/18/08 21:00:47 [Note]: 10002 2
10/18/08 21:00:47 [Note]: 10002 2
10/18/08 21:00:47 [Info]: Hidden file: c:\WINDOWS\system32\c_204707.nls
10/18/08 21:00:47 [Note]: 10002 2
10/18/08 21:00:47 [Note]: 7006 0
10/18/08 21:00:47 [Note]: 7011 1496
10/18/08 21:00:47 [Note]: 7026 0
10/18/08 21:00:47 [Note]: 7026 0
10/18/08 21:00:47 [Note]: FSRAW library version 1.7.1024
10/18/08 21:00:54 [Note]: 10002 2
10/18/08 21:00:54 [Info]: Hidden file: c:\WINDOWS\system32\c_204677.nls
10/18/08 21:00:54 [Note]: 10002 2
10/18/08 21:00:54 [Note]: 10002 2
10/18/08 21:00:54 [Note]: 7006 0
10/18/08 21:00:54 [Note]: 7011 1496
10/18/08 21:00:54 [Note]: 7026 0
10/18/08 21:00:54 [Note]: 7026 0
10/18/08 21:00:54 [Note]: FSRAW library version 1.7.1024
10/18/08 21:01:01 [Info]: Hidden file: c:\WINDOWS\system32\c_204668.nls
10/18/08 21:01:01 [Note]: 10002 2
10/18/08 21:01:01 [Note]: 10002 2
10/18/08 21:01:01 [Note]: 10002 2
10/18/08 21:16:32 [Note]: 7007 0

Tayk 18.10.2008 21:02
Ok Catchme bitte auch noch!

Catchme

* Lade Catchme auf das Desktop.

* Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.

* Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.

* Das Log ist in catchme.log, füge es vollständig in deine Antwort ein. Bitte wieder in einem Code!

Edit:
RSIT
Erstelle bitte ein Log mit RSIT.
Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier in einem Code. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

Tayk 18.10.2008 23:03
Sry wegen doppelpost aber mir ist eben aufgefallen das ich oben anstatt RSIT ein anderes programm verlinkt hab!

Nutze diese anleitung!

RSIT

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt).
Poste den Inhalt beider Dateien hier in einem Code. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

danboe78 19.10.2008 10:33
Hier der Link der beiden Logs:

http://www.file-upload.net/download-1190918/RSIT_Log_Info.txt.html

danboe78 19.10.2008 15:24
HTML-Code:
http://www.file-upload.net/download-1190918/RSIT_Log_Info.txt.html
Heute ist die AV-Meldungen überhaupt nicht, wie in den letzten Tagen unmittelbar beim bzw. nach Neustart, und auch im Laufe des Tages, erschienen. Blacklight hat auch keinen Treffer gefunden.
Hat der Trojaner evtl. durch das BootSektor neu schreiben ("fixmbr") und umbenennen der *.nls-Dateien seine Angriffsfläche verloren?

Allgemeine Frage:
Konnte über den Silentbanker".G" bisher nicht viel herausfinden -> geht der bei seiner Jagd nur auf Onlinebanking-Daten oder generell auf sämtliche Login-Daten? Was macht der genau und worauf muss ich jetzt noch achten?

schattenralf 22.10.2008 21:39
sagt mal ehrlich es kann doch nicht aufgabe von uns "usern" sein, solche probleme zu lösen. warum sollen wir irgentwelche programme kaufen wenn es eh nicht funktioniert. Habe TR/silentbanker habe überall geguckt nichts hat funktioniert glaube die vieren und antitrojanerhersteller machen uns die Probleme. Wenn nicht sag mir einer die lösung zu TR/SILENTBANKER habe die alten einträge alle geleen und versucht.
22.10.2008

Corrino07 05.05.2009 22:45
Ich finde den Virus recht niedlich. Silentbanker.G.1 hat sich bei mir als msacm32.drv getarnt unter C:\Windows. Da diese Datei im Original noch auf C:\Windows\system32 existiert (mit 20,5k statt 85,x), habe ich davon eine Kopie gezogen, schreibgeschützt und gegen das Objekt unter C:\Windows ausgetauscht. Effekt: Der Virus hat nun nen Maulkorb und Antivir Guard poppt nicht mehr auf. Mit einer Virenprüfung der Datei bestätigt mir das der Virencode daraus entfernt ist. Der Virus mag zwar noch in meinem System schlummern irgendwo, aber (hoffentlich) anrichten kann er nichts mehr.


Ich hoffe wer das selbe Problem hat hat nun etwas Ruhe und wenn mir jemand sagen kann wo die Mistsau von Trojaner wirklich steckt dann mache ich das Ding entgültig platt :snyper:
Achja, ich habe dann noch Sinnlose Einträge aus der Registry gelöscht die Querverweise auf C:\Windows\msacm32.drv hatten. Bitte löscht nicht die mit Querverweise auf C:Windows\system32, käme nicht so gut :headbang:

MfG, Corrino07


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131